Simkaart ‘gehackt, niet gekraakt’

IT-bedrijf bevestigt inbraakpogingen van geheime diensten om op grote schaal mobiele bellers af te luisteren.

Amper vijf dagen had het Frans-Nederlandse IT-bedrijf Gemalto nodig om de vermoedens te bevestigen: Britse en Amerikaanse veiligheidsdiensten hebben geprobeerd in te breken bij de simkaartenmaker om toegang te krijgen tot versleutelingscodes en zo mobiele bellers af te luisteren.

Het zou de hackers niet gelukt zijn om door te dringen tot lagen van het netwerk waar de versleuteling van simkaarten wordt geregeld. De veiligheid van simkaarten is niet in het geding geweest, aldus Gemalto, laat staan dat er massaal codes van simkaarten zijn gestolen.

Vorige week meldde website The Intercept op basis van uitgelekte documenten van klokkenluider Edward Snowden dat hackers toegang hadden tot Gemalto’s computers. Zo zouden grote hoeveelheden encryptiesleutels gestolen zijn om telefoons af te luisteren, met name in het Midden-Oosten, Afrika en Afghanistan.

Gemalto reageerde met een onderzoek en stuitte op meerdere geavanceerde inbraakpogingen. De pogingen vonden plaats in 2010 en 2011 en waren gericht tegen de systemen waarmee medewerkers met elkaar communiceren. „Destijds waren we niet in staat de daders te identificeren,maar nu denken we dat deze hackers in verband staan met [de Amerikaanse] NSA en [Britse] GCHQ”, aldus Gemalto.

Olivier Piou, topman van Gemalto, zei in een interview met NRC Handelsblad in december 2013 al dat zo’n hack zou kunnen plaatsvinden.

Gemalto maakt beveiligde chips voor bankpassen, toegangskaarten en de simkaartjes voor mobiele telefoons. Van die simkaarten levert Gemalto er twee miljard per jaar aan zo’n 450 telecomproviders. Ook Nederlandse netwerken als KPN, Vodafone, T-Mobile maken op grote schaal gebruik van Gemalto. In welke mate ze precies van deze leverancier afhankelijk zijn willen ze niet vertellen – dat voorkomt vragen van klanten die bang zijn afgeluisterd te worden.

Volgens de Snowden-documenten wilden de geheime diensten bellers afluisteren in Afghanistan, Jemen, India Servië, Iran, IJsland, Somalië, Pakistan en Tadzjikistan. Gemalto zegt dat de mobiele netwerken in die landen 2010 en 2011 veelal 2G-technologie gebruikten, die makkelijk af te luisteren is. 3G en 4G-netwerken zijn beter beveiligd.

Documenten van The Intercepttoonden aan dat hackers toegang hadden tot ‘personalisatiecentra’ waar alle simkaarten hun individuele encryptiesleutel krijgen. Volgens Gemalto klopt de getoonde lijst van personalisatiecentra niet. Ook zou Gemalto niet aan alle genoemde mobiele netwerken leveren. Sommige netwerken gebruiken de allergoedkoopste, slecht beveiligde simkaarten. Sowieso geldt: wie minder kans wil lopen om afgeluisterd te worden moet niet op de verbinding vertrouwen, maar apps gebruiken die beter versleuteld zijn.

Wel gehackt, niet gekraakt. Voor Gemalto is de kous daarmee af, luidt de laatste regel van het vier pagina’s tellende rapport. Het bedrijf gaf aan geen financiële schade te verwachten Vandaag de beurskoers steeg al weer.

Maar kun je binnen vijf dagen uitsluiten dat een leger digitale inbrekers van NSA en GCHQ, met hun enorme budgetten, niet dieper in de systemen zijn binnengedrongen?

Andere veiligheidsexperts, onder meer uit de chipindustrie, zijn sceptisch over snelle conclusie van Gemalto. Een goede controle van een bedrijf met 12.000 medewerkers en complexe IT-systemen zou meerdere weken moeten duren. Gemalto-topman Piou: „ We worden al vierhonderd keer per jaar gecontroleerd door externe partijen.”